<!doctype html>
<html>
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta name="keywords" content="瑞星,瑞星之剑,勒索病毒,防勒索病毒">
<meta name="description" content="瑞星防勒索病毒专题">
<title>全新针对Linux平台的勒索软件——Sfile - 瑞星网</title>
<link href="/skin/rising/fanlesuo/styles/bootstrap.css" rel="stylesheet">
<link href="/skin/rising/fanlesuo/styles/base.css" rel="stylesheet">
<link href="/skin/rising/fanlesuo/styles/custom.css" rel="stylesheet">
<script src="/skin/rising/fanlesuo/javascripts/jquery.min.js"></script>
<script src="/skin/rising/fanlesuo/javascripts/bootstrap.min.js"></script>
<!--[if lt IE 9]>
<script src="/skin/rising/fanlesuo/javascripts/html5shiv.js"></script>
<script src="/skin/rising/fanlesuo/javascripts/respond.min.js"></script>
<![endif]-->
</head>

<body>
<input type="hidden" id="hidclass" name="hidclass" value="204" />
<input type="hidden" id="hidid" name="hidid" value="19851" />
<!-- 头部开始 -->
<nav class="navbar navbar-inverse">
      <div class="container">
        <div class="navbar-header">
        <button type="button" class="navbar-toggle collapsed" data-toggle="collapse" data-target="#rsnav">
        <span class="sr-only">Toggle navigation</span>
        <span class="icon-bar"></span>
        <span class="icon-bar"></span>
        <span class="icon-bar"></span>
      </button>
          <a href="http://www.rising.com.cn/" class="navbar-brand"><img src="/skin/rising/it/images/logo.png" alt="瑞星" /></a>
        </div>
        <div class="collapse navbar-collapse" id="rsnav">
    		<ul class="nav navbar-nav navbar-right">
				<li><a href="19427.html" target="_blank">勒索病毒概述</a></li>
                                 <li><a href="19449.html" target="_blank">勒索病毒威胁等级</a></li>
				<li><a href="19430.html" target="_blank">勒索病毒防御措施</a></li>
				<li><a href="http://bbs.ikaka.com/showforum-28.aspx" target="_blank">论坛</a>
    		</ul>
        </div>
      </div>
</nav>
<!-- 头部结束 -->

<!--非公共部分开始-->
<div class="path">
	<div class="container">
        <ol class="breadcrumb">
	        <li><a href="http://www.rising.com.cn/">瑞星首页</a></li>
          <li><a href="http://it.rising.com.cn/">安全资讯</a></li>
          <li><a href="index.html">防勒索病毒专题</a></li>
          <li class="active">正文</li>
        </ol>
  </div>
</div>
<div class="clearfix height20"></div>
<!-- 广告位置1开始 -->
<div class="container banner-top">
	<script src="/d/js/acmsd/thea6.js" ></script>
	<div class="clearfix height20"></div>
</div>
 <!-- 广告位置1结束 -->
<div class="container">
  <div class="row">
    <div class="col-md-8">
      <article>
        <h1>全新针对Linux平台的勒索软件——Sfile</h1>
        <h1><small></small></h1>
		    <p class="small">2022-01-06 &nbsp;&nbsp;   </p>
        <blockquote>威胁等级：<span class="level">★★★</span><br />
近日瑞星捕获到该勒索病毒的Linux平台变种，此变种提供一些基于命令行的参数策略支持，加密文件采用RSA+AES算法模式，在没有RSA私钥的情况下暂时无法对被加密文件进行解密。</blockquote>
        <h2>概述</h2>

<p>SFile又称Escal，最早出现于2020年，主要针对Windows平台。该勒索病毒的部分变种还习惯使被加密文件的后缀名附带上目标企业的英文名称，如本次捕获到的变种使用nuctech-gj0okyci（nuctech为同方威视技术股份有限公司的英文名称）作为后缀名。近日瑞星捕获到该勒索病毒的Linux平台变种，此变种提供一些基于命令行的参数策略支持，加密文件采用RSA+AES算法模式，在没有RSA私钥的情况下暂时无法对被加密文件进行解密。</p>

<h2>样本信息</h2>
<div align="center"><img src="/d/file/it/fanglesuo/20220106/b1.png"></div>

<h2>详细分析</h2>

<p>以当前时间作为随机数种子作为加密算法秘钥</p>

<div align="center"><img src="/d/file/it/fanglesuo/20220106/image1.png"></div>
<div align="center">图：生成随机数</div>

<p>为了提高加密效率限制了文件的存储大小，最小文件加密大小500K，最大文件加密30M。</p>

<div align="center"><img src="/d/file/it/fanglesuo/20220106/image2.png"></div>
<div align="center">图：限制加密文件大小</div>

<p>提供命令行参数用于灵活调整攻击策略。</p>
<p>--threads-count：线程数量</p>
<p>-e-size：最小加密文件大小</p>
<p>--g-size：最大加密文件大小</p>
<p>--exl：排除指定扩展名</p>
<p>--exts：包含指定扩展名</p>
<p>--disable-crc32</p>
<p>--disable-ransomfile：不释放勒索信</p>
<p>--disable-filerenaming：不进行文件重命名</p>

<div align="center"><img src="/d/file/it/fanglesuo/20220106/image3.png"></div>
<div align="center">图：命令行配置参数</div>

<p>导入文件内硬编码的RSA公钥加密随机数</p>

<div align="center"><img src="/d/file/it/fanglesuo/20220106/image4.png"></div>
<div align="center">图：硬编码的RSA公钥</div>

<p>遍历文件路径，从文件头读取文件进行加密</p>

<div align="center"><img src="/d/file/it/fanglesuo/20220106/image5.png"></div>
<div align="center">图：加密操作</div>

<p>文件采用AES算法加密</p>

<div align="center"><img src="/d/file/it/fanglesuo/20220106/image6.png"></div>
<div align="center">图：AES算法特征</div>

<p>文件加密后缀格式，排除格式.nuctech-gj0okyci</p>

<div align="center"><img src="/d/file/it/fanglesuo/20220106/image7.png"></div>
<div align="center">图：默认选择加密的后缀格式</div>

<p>为加密的文件添加后缀.nuctech-gj0okyci</p>

<div align="center"><img src="/d/file/it/fanglesuo/20220106/image8.png"></div>
<div align="center">图：修改文件后缀</div>

<p>创建勒索信文件readme_to_nuctech.txt，要求用户通过给定邮箱与攻击者进行联系</p>

<div align="center"><img src="/d/file/it/fanglesuo/20220106/image9.png"></div>
<div align="center">图：勒索信释放</div>

<h2>处置及防范建议</h2>

<p>目前，瑞星ESM防病毒终端安全防护系统等产品可拦截并查杀相关勒索病毒，广大用户可安装瑞星的安全产品来规避相应风险。</p>

<div align="center"><img src="/d/file/it/fanglesuo/20220106/image10.png"></div>
<div align="center">图：瑞星ESM查杀SFile勒索病毒</div>

<p>1. 针对RDP弱口令攻击的防范建议：</p>
<ul>
	<li>限制可使用RDP的用户，仅将远程访问授权给那些必须用它来执行工作的人。</li>
	<li>建立双重验证，如Windows平台下的Duo Security MFA或Linux平台google-authenticator等认证程序。
	<li>设置访问锁定策略，通过配置账户锁定策略，调整账户锁定阀值与锁定持续时间等配置可以有效抵御一定时间下高频的暴力破解。
	<li>审视RDP的使用需求，如果业务不需要使用它，那么可以将所有RDP端口关闭，也可以仅在特定时间之间打开端口。
	<li>重新分配RDP端口，可考虑将默认RDP端口更改为非标准的端口号，可避免一部分恶意软件对特定RDP端口的直接攻击，仍需另外部署端口扫描攻击防范措施。
	<li>定期检查、修补已知的RDP相关漏洞。
	<li>创建防火墙规则限制远程桌面的访问，以仅允许特定的IP地址。
	<li>RDP的登陆，应使用高强度的复杂密码以降低弱口令爆破的机会。
</ul>

<p>2. 针对系统安全性的防范建议：</p>
<ul>
	<li>及时更新软件及系统补丁。</li>
	<li>定期备份重要数据。</li>
	<li>开启并保持杀毒软件及勒索防护软件功能的正常。</li>
	<li>定期修改管理员密码并使用复杂度较高的密码。</li>
	<li>开启显示文件扩展名，防范病毒程序伪装应用程序图标。</li>
</ul>

<p>3. 针对局域网安全性的防范建议：</p>
<ul>
	<li>非必要时可关闭局域网共享文件或磁盘，防止病毒横向传播。</li>
	<li>对局域网共享文件夹设置指定用户的访问权限，防止不必要的权限遭到病毒滥用。</li>
	<li>通过防火墙规则限制如445、3389端口/关闭445、3389端口或是修改端口号，防止病毒通过扫描端口等方式查询区域资产信息。</li>
</ul>
        <div class="reading">编辑：瑞瑞  阅读：<span id="spanCount" name="spanCount"></span></div>
        <!-- bdshare -->

      </article>
</div>
    <div class="col-md-3 col-md-offset-1">
	    <div class="clearfix height20"></div>
        <div class="panel panel-default">
        	<div class="panel-heading">相关文章</div>
           <ul class="list-group">
    <li class="list-group-item"><a href="http://it.rising.com.cn/anquan/19850.html"  target="_blank"  title="瑞星截获最新Linux勒索软件 目标为国内企业"  >瑞星截获最新Linux勒索软件 目标为国内企业</a></li> <li class="list-group-item"><a href="http://it.rising.com.cn/anquan/19846.html"  target="_blank"  title="俄语黑客论坛出售全新私人定制勒索病毒——BlackCat"  >俄语黑客论坛出售全新私人定制勒索病毒——BlackCat</a></li> <li class="list-group-item"><a href="http://it.rising.com.cn/fanglesuo/19849.html"  target="_blank"  title="可私人定制的勒索病毒——BlackCat"  >可私人定制的勒索病毒——BlackCat</a></li> <li class="list-group-item"><a href="http://it.rising.com.cn/anquan/19843.html"  target="_blank"  title="瑞星：BlackTech组织对国内企业APT攻击分析"  >瑞星：BlackTech组织对国内企业APT攻击分析</a></li> <li class="list-group-item"><a href="http://it.rising.com.cn/anquan/19842.html"  target="_blank"  title="Apache Log4j2高危漏洞来袭 企业用户尽快修复"  >Apache Log4j2高危漏洞来袭 企业用户尽快修复</a></li> <li class="list-group-item"><a href="http://it.rising.com.cn/anquan/19841.html"  target="_blank"  title="瑞星预警：CronRAT病毒深藏不露 恐成Linux重大隐患"  >瑞星预警：CronRAT病毒深藏不露 恐成Linux重大隐患</a></li> <li class="list-group-item"><a href="http://it.rising.com.cn/dongtai/19835.html"  target="_blank"  title="瑞星捕获最新窃密木马 国内已有金融企业遭受攻击"  >瑞星捕获最新窃密木马 国内已有金融企业遭受攻击</a></li> <li class="list-group-item"><a href="http://it.rising.com.cn/fanglesuo/19848.html"  target="_blank"  title="宣称全世界加密最快的勒索软件——LockBit 2.0"  >宣称全世界加密最快的勒索软件——LockBit 2.0</a></li> <li class="list-group-item"><a href="http://it.rising.com.cn/anquan/19790.html"  target="_blank"  title="LockBit2.0勒索软件攻击埃森哲 国内企业应加强防范"  >LockBit2.0勒索软件攻击埃森哲 国内企业应加强防范</a></li> <li class="list-group-item"><a href="http://it.rising.com.cn/dongtai/19783.html"  target="_blank"  title="瑞星截获Transparent Tribe组织的一起APT攻击"  >瑞星截获Transparent Tribe组织的一起APT攻击</a></li>            </ul>
        </div>
    </div>
  </div>
<!--非公共部分结束-->


<!-- 尾部开始 -->
<footer>
<hr>
    <div class="pull-right">
        <a rel="nofollow" href="javascript:void(0)"  data-toggle="modal" data-target="#wx"><img src="/skin/rising/it/images/bottom-wx.png" alt="瑞星微信"></a> 
        <!-- Modal -->
        <div class="modal fade" id="wx" tabindex="-1" role="dialog" aria-labelledby="myModalLabel" aria-hidden="true">
          <div class="modal-dialog">
            <div class="modal-content">
              <div class="modal-header">
                <button type="button" class="close" data-dismiss="modal" aria-label="Close"><span aria-hidden="true">&times;</span></button>
                <h4 class="modal-title" id="myModalLabel">微信扫描关注瑞星</h4>
              </div>
              <div class="modal-body text-center">
                <img src="/skin/rising/it/images/2wm.png" class="img-responsive center-block"  alt="瑞星微信">
              </div>
            </div>
          </div>
        </div>
        <a rel="nofollow" href="http://weibo.com/risingantivirus" target="_blank"><img src="/skin/rising/it/images/bottom-wb.png" alt="瑞星微博"></a>
    </div>
    <div>
    <script type="text/javascript">
	(function(){
        var hsHost = (("https:" == document.location.protocol) ? "https://" : "http://");
        document.write(unescape("%3Cp%3E%3Cscript src='" + hsHost + "www.rising.com.cn/d/js/js/name.js' type='text/javascript'%3E%3C/script%3E%3C/p%3E"+"%3Cp class='small' "+"%3E%3Cscript src='" + hsHost + "www.rising.com.cn/d/js/js/icp.js' type='text/javascript'%3E%3C/script%3E%3C/p%3E"));})();
    </script>
    </div>
</footer>
<!-- 尾部结束 -->

</div>
 <script type="text/javascript">
	(function(){
        var hsHost = (("https:" == document.location.protocol) ? "https://" : "http://");
        document.write(unescape("%3Cscript src='" + hsHost + "www.rising.com.cn/d/js/js/pagecounter.js' type='text/javascript'%3E%3C/script%3E"));})();
 </script>
<script src="/skin/rising/it/javascripts/jsvcut.js"></script>
</body>
</html>